ISO 27701 – Klousule 6.6 – Toegangsbeheer

ISO 27701 Klousule 6.6 skets toegangsbeheervereistes om Persoonlik Identifiseerbare Inligting (PII) te beskerm, om te verseker dat toegang verleen word op grond van rolspesifieke behoeftes, terwyl die beginsels van minste voorreg en veilige verifikasie gevolg word. Dit vereis beleide vir netwerktoegang, gebruikersbestuur en stelselkontroles om ongemagtigde datablootstelling te voorkom.

Ons benodig die inligting wat jy aan ons verskaf om jou te kontak oor ons dienste.
Teken enige tyd uit. Vir meer inligting, kyk asseblief na ons Privaatheidsbeleid.

skrywer
Max Edwards
Opgedateer 26 Februarie 2025
LinkedIn Twitter Twitter

Verstaan ​​ISO 27701 Klousule 6.6: Toegangsbeheer Beste Praktyke

Toegangsbeheer beheer die maniere waarop menslike en nie-menslike entiteite toegang tot data, IT-hulpbronne en toepassings verleen word – en in die geval van ISO 27701 6.6, PII en privaatheidverwante materiaal.

Toegangsbeheer is 'n komplekse en veelsydige IKT-funksie wat talle ander besigheidsfunksies insluit, soos veranderingsbestuur, batesekuriteit, onderwerpspesifieke magtiging, fisiese sekuriteitskontroles en tegniese konsepte soos RBAC, MAC en DAC. As sodanig bevat ISO 27701 6.6 baie ondersteunende leiding van soortgelyke privaatheid en inligtingbeskerming kontroles vervat in die ISO 27002-standaard.

Om toegangsbeheer reg te kry is een van die voorste funksies van 'n goed geoliede privaatheidsbeskermingsoperasie, veral binne die konteks van die beveiliging van PII.

Wat word gedek in ISO 27701 Klousule 6.6

ISO 27701 6.6 bevat twee subklousules wat inligting verskaf in kontekstualiseer ISO 27002 5.15 (Toegangsbeheer) binne die sfeer van PII en privaatheidbeskerming, met talle ondersteunende klousules wat oor verskeie ander aspekte van inligtingsekuriteit handel (sien hierbo):

  • ISO 27701 6.6.1.1 – Toegangsbeheerbeleid (Verwysings ISO 27002 Beheer 5.15)
  • ISO 27701 6.6.1.2 – Toegang tot netwerke en netwerkdienste (Verwysings ISO 27002 Beheer 5.15)

Geen klousule bevat enige PIMS-spesifieke riglyne nie, en het ook nie enige relevansie vir die Britse GDPR-wetgewing nie.



Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


ISO 27701 Klousule 6.6.1.1 – Toegangsbeheerbeleid

Verwysings ISO 27002 Beheer 5.15

Eienaars van bates wat PII bevat, en die data self, moet privaatheidgebaseerde toegangsvereistes op beide 'n algemene en onderwerpspesifieke basis ontwikkel, en toegangsbeheerbeleide duidelik aan alle relevante personeel kommunikeer.

Toegangsbeheerbeleide

Algemene vereistes en onderwerpspesifieke beleide moet:

  • Stel vas wie toegang tot spesifieke bates en data benodig, en bestuur sulke regte dienooreenkomstig (sien ISO 27002 5.18).
  • Oorweeg die unieke sekuriteitsvereistes van toepassings wat PII (sien ISO 27002 5.16, 5.18 en 8.26).
  • Beheer fisiese toegang tot PII-data (sien ISO 27002 7.2, 7.3 en 7.4).
  • Versprei PII en magtig gedokumenteerde toegangsversoeke op 'n 'need to know'-basis (sien ISO 27002 5.10, 5.12 en 5.13).
  • Plaas beperkings op 'bevoorregte' toegang tot PII' (sien ISO 27701 8.2).
  • Skei pligte, om die moontlikheid te beperk dat individue en groepe die enigste gesag oor elemente is (sien ISO 27002 5.3).
  • Neem die organisasie se verpligtinge teenoor enige privaatheidsbeskermingswetgewing, regulatoriese riglyne of kontraktuele vereistes in ag (sien ISO 27002 5.31, 5.32, 5.33, 5.34 en 8.3).
  • Verseker dat akkurate en bygewerkte logs gehandhaaf word, dat detail toegang tot PII regoor die organisasie (sien ISO 27002 8.15).

Definieer toegangsbeheer-entiteite en geassosieerde reëls

ISO klassifiseer 'n 'entiteit' as 'n fisiese, menslike en/of logiese item wat die vermoë het om toegang tot data te verkry.

Entiteite moet spesifieke rolle toegeken word wat verband hou met hul funksie en die data waartoe hulle toegang benodig.

By die implementering van toegangsbeheerreëls vir die verskillende entiteite wat dit gedefinieer het, moet organisasies:

  • Verseker dat entiteite konsekwent toegang tot PII kry, in ooreenstemming met hul spesifieke rol en/of funksie.
  • Hou fisiese sekuriteitsbehoeftes in gedagte wanneer toegang tot PII geadministreer word.
  • In die geval van veelvlakkige wolkgebaseerde en/of verspreide omgewings, word entiteite slegs toegang verleen tot die PII-datakategorieë waarvoor hulle gemagtig is om te gebruik (eerder as om algemene toegang te verskaf.

Bykomende leiding

Toegangsbeheer kan dikwels 'n komplekse en moeilik-om-te-bestuur element van 'n organisasie se IKT-bedrywighede wees.

Hier is 'n paar algemene beginsels om na te kom:

  • Werk binne 'n 'behoefte om te weet' en 'nodig om te gebruik'-raamwerk – maw verskaf slegs toegang tot PII as die entiteit dit vereis om hul werksrol uit te voer, en nie minder nie.
  • Organisasies moet by die konsep van 'minste voorreg' hou. ISO definieer dit as 'alles is oor die algemeen verbode, tensy dit uitdruklik toegelaat word'. Met ander woorde, toegangsbeheer moet noukeurig geadministreer word, eerder as om werknemers te vertrou met breë vlakke van toegang oor verskeie toepassings, bergingstoestelle en lêerbedieners.
  • Veranderinge aan toegangstoestemmings moet op twee maniere oorweeg word – veranderinge wat deur stelseladministrateurs geïnisieer word, en dié wat deur IKT-stelsels en toepassings self geïnisieer word – insluitend wanneer om goedkeurings te hersien.
  • Vir die doeleindes van toegang PII, gee ISO vier hooftoegangsbeheertipes uiteen wat organisasies moet oorweeg, gebaseer op hul unieke vereistes:
    • Verpligte toegangsbeheer (MAC) – Toegang word sentraal bestuur deur 'n enigste sekuriteitsowerheid.
    • Diskresionêre toegangsbeheer (DAC) – Die teenoorgestelde metode van MAC, waar objekeienaars in staat is om voorregte aan ander gebruikers oor te dra.
    • Rolgebaseerde toegangsbeheer (RBAC) – Die mees algemene tipe kommersiële toegangsbeheer, gebaseer op voorafbepaalde werkfunksies en voorregte.
    • Attribuut-gebaseerde toegangsbeheer (ABAC) – Toegangsregte word aan gebruikers verleen deur die gebruik van beleide wat eienskappe saam kombineer.

Relevante ISO 27002-kontroles

  • ISO 27002 5.3
  • ISO 27002 5.10
  • ISO 27002 5.12
  • ISO 27002 5.13
  • ISO 27002 5.16
  • ISO 27002 5.18
  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34
  • ISO 27002 7.2
  • ISO 27002 7.3
  • ISO 27002 7.4
  • ISO 27002 8.2
  • ISO 27002 8.3
  • ISO 27002 8.26


Nakoming hoef nie ingewikkeld te wees nie.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


ISO 27701 Klousule 6.6.1.2 – Toegang tot netwerke en netwerkdienste

Verwysings ISO 27002 Beheer 5.15

Sien ISO 27701 Klousule 6.6.1.1

Ondersteunende kontroles vanaf ISO 27002 en GDPR

ISO 27701 Klousule IdentifiseerderISO 27701 Klousule NaamISO 27002-vereisteGeassosieerde GDPR-artikels
6.6.1.1Toegangsbeheerbeleid
5.15 – Toegangsbeheer vir ISO 27002
Geen
6.6.1.2Toegang tot netwerke en netwerkdienste
5.15 – Toegangsbeheer vir ISO 27002
Geen

Hoe ISMS.online help

Hoe help ons?

ISO 27701 wys jou hoe om 'n Privaatheidsinligtingbestuurstelsel te bou wat aan die meeste privaatheidsregulasies voldoen, insluitend die EU se GDPR, BS 10012 en Suid-Afrika se POPIA.

Ons vereenvoudigde, veilige, volhoubare sagteware help jou om maklik die benadering te volg wat deur die internasionaal erkende standaard uiteengesit word.

Ons alles-in-een-platform verseker dat jou privaatheidswerk ooreenstem met en aan die behoeftes van elke afdeling van die ISO 27701-standaard voldoen.

En omdat dit regulering agnosties is, kan jy dit karteer op enige regulasie wat jy nodig het.

Vind meer uit deur bespreek 'n praktiese demo.

Spring na onderwerp

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

ISMS-platformtoer

Stel jy belang in 'n ISMS.online platform toer?

Begin nou jou gratis 2-minute interaktiewe demonstrasie en ervaar die magie van ISMS.online in aksie!

Probeer dit gratis

Ons is 'n leier in ons veld

Gebruikers is lief vir ons
Leier Winter 2025
Leier Winter 2025 Verenigde Koninkryk
Beste ROI Winter 2025
Vinnigste implementering Winter 2025
Mees implementeerbare Winter 2025

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

-Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

- Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

- Ben H.

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!